Php 密码保护某些端点/资源

我正在为文件夹/文件浏览器应用程序的一部分构建RESTAPI

设计的一个方面是能够对文件夹进行密码保护，我只是想知道最好的做法是什么

“我的文件夹”表有一个受is_保护的布尔值和一个将加密存储的密码字段。这是可选的保护

开发人员将向发送GET请求，后端将资源作为JSON返回

但是，如果文件夹受密码保护，我需要检查密码是否匹配。是否最好在HTTP头中发送此消息？或者使用唯一文件夹slug作为密钥的会话还是其他什么

---

欢迎所有建议，干杯

您的REST API应该创建一个登录服务，该服务将使用用户名/密码，并使用授权令牌进行响应，以便在后续请求中使用<代码>授权：令牌98wuun8EIU23H8D3D87dow7dh此令牌还应具有到期日期，在该日期需要刷新，您的应用程序不应在资源请求本身上传递用户名/密码

身份验证令牌本身对于每个用户都应该是唯一的，并且在刷新时应该生成一个全新的唯一令牌。然后，您的令牌可用于识别后端上的用户

刷新可以通过刷新令牌来完成，也可以通过要求用户再次输入用户名/密码并请求新的身份验证令牌来完成

---

还要确保您的生产环境使用SSL来减少中间人类型的攻击。

最简单的解决方案是http basic auth，其中包含.htacess和.htpasswdI。我正在构建类似的东西-您是否为此提出了解决方案？一般来说，我已经在使用基本身份验证来访问该服务，但有些文件资源具有与其关联的密码，因此即使在GET请求中，也需要将密码作为请求的一部分发送，以便检索文件的元数据。@Amber我现在已经开始使用JWTs。这里有一个很好的概述。希望有帮助。